api接口安全漏洞检测测试过程

时间：2020-03-26

某一客户的网站,以及APP系统数据被篡改,金额被提现,导致损失惨重,漏洞无从下手,经过朋友介绍找到我们SINE安全公司,我们随即对客户的网站服务器情况进行大体了解.建议客户做渗透测试服务.模拟攻击者的手法对网站存在的数据篡改漏洞进行检测与挖掘,就此渗透测试服务的过程进行记录与分享.

首先客户网站和APP的开发语言都是使用的PHP架构开发,后端使用的thinkphp开源系统,对会员进行管理以及资料的统计,包括充值,提现,下单功能.服务器使用是linux系统.共有3个接口,分别是WEB前端,接口,后台,都采用的是action的方法来调用,并初始化数据.我们看下代码

不同入口传入过来的值,并进一步的操作都不一样,我们SINE安全技术在get,post,cookies的请求方式中,发现一个规律,在查看代码中发现都是使用的get()的方式来对传入过来的值进行安**验与拦截.对一些特殊符号包括<> 都进行了安全转义,不会直接输入到后端中去.基本上的一些漏洞,XSS,SQL注入漏洞是不会很*的找到.我们继续对代码进行分析与渗透测试,对漏洞多次的测试,终于找到一处存在SQL注入漏洞的代码,存在于网站的会员头像上传功能.

我们抓取上传的数据包,并进行修改,将恶意的SQL注入代码写入到数据包中,将头像的图片内容进行修改提交过去,发现服务器返回错误,原因是对图片的内容进行了解析操作,并将上传的路径地址写入到了数据库,而这个写入数据库的图片路径地址,并没有做详细的变量安全过滤,导致SQL注入的发生,由此可见,攻击者可以查询数据库里的管理员账号密码,并登陆到系统后台进行提权.平台的后台目录地址很*遭到破解,后台名字写的竟然是houtai2019,很*让攻击者猜解到,使用SQL注入漏洞获取到的管理员账号密码.登陆后台,上传webshell,查到数据库的账户密码,进行连接,修改数据库.

在对后台的渗透测试发现,后台也存在同样的任意文件上传漏洞,upload值并没有对文件的格式,做安**验与过滤,导致可以构造恶意的图片代码,将save格式改为php,提交POST数据**去,直接在网站的目录下生成.php文件.对此我们SINE安全将渗透测试过程中发现的漏洞都进行了修复.

可能有些人会问了,那该如何修复渗透测试中发现的网站漏洞?

首先对SQL注入漏洞,我们SINE安全建议大家对图片的路径地址写入到数据库这里,进行安全过滤,对于一些特殊字符,SQL注入攻击代码像select,等数据库查询的字符进行限制,有程序员的话,可以对路径进行预编译,动态生成文件名,对ID等值只允许输入数字等的安全部署,如果对程序代码不是太懂的话,也可以找专业的网站安全公司来解决,国内像SINESAFE,启**辰,绿盟都是比较专业的,剩下的就是任意文件上传功能的漏洞修复,修复办法是对上传的文件名,以及文件格式做白名单限制,只允许上传jpg.png,gif,等图片文件,对上传的目录做安全设置,不允许PHP等脚本文件的执行,至此客户网站数据被篡改的原因找到,经过渗透测试才发现漏洞的根源,不模拟攻击者的手段.是永远不会找到问题的原因的.也希望借此分享,能帮助到更多遇到网站被攻击情况的客户.

13280888826

词条
词条说明
企业文化
技术：专注可靠创新专注于网络安全技术进步的*，不断开拓创新，为客户提供便捷、高效、高质、可靠的网站安全服务满足客户的安全需要。我们具备攻击者视角以及防御者视角的多维度防御方法，所谓未知攻，焉知防，知己知彼，百战不殆！服务：恒久宽厚热忱为客户提供全天候7*24小时的高品质个性化服务，并特别推出专人负责从实施到维护的“一站式”安全服务体系。为客户创造更多的价值，是我们应该做的，也只有这样，我们才会
服务器被攻击如何查看异常进程以及网站木马检查
目前越来越多的服务器被入侵，以及攻击事件频频的发生，像数据被窃取，数据库被篡改，用户数据被脱裤，网站被强制跳转到恶意网站上，网站在百度的快照被劫持，等等的攻击症状层出不穷，当我们的服务器被攻击，被黑的时候我们**时间该怎么去处理解决呢?如何排查服务器被入侵攻击的痕迹呢?是否有应急处理方案，在不影响网站访问的情况下，很多客户出现以上攻击情况的时候，找到我们SINE安全来处理解决服务器被攻击问题，我们
网站安全检测的必要性
网站安全检测是指通过对网站的系统性测试，发现其中存在的安全漏洞并提供解决方案的过程。网站安全检测的必要性主要有以下几个方面：预防攻击：网站是企业在互联网上的门面，如果网站存在安全漏洞，可以利用漏洞对网站进行攻击，导致网站被篡改、瘫痪甚至被重要信息。做好网站安全检测可以及早发现漏洞并加以修复，预防攻击，**网站的安全性和稳定性。提高用户信任度：网站安全检测和修复可以提高用户的信任度，让用户更加放心地
竞价排名类网站服务器安全解决方案
一、行业背景需求2013年的互联网竞价市场，百度竞价，百度网盟，google adwords 成为了当前竞价市场的主流。百度竞价占据了国内 %80的市场份额，google adwords 占据了**外贸行业的%90市场。百度主内，google主外，成为了当前互联网竞价市场的必然。百度竞价作为现在百度较主要的收入来源，其广泛的用户群覆盖了全国各地，各行各业，大到几十亿的企业，小到淘宝店的运营者，都在